Gastpost: Het Nederlandse Cyberleger

cyberleger.jpgVanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie op 27 juni een presentatie gehouden van de plannen om ook Nederland mee te laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger worden opgericht wat toegerust is om op dat slagveld zijn/haar mannetje te staan. Behalve de technische invulling daarvan, zal dat ook betekenen dat er juridisch een en ander geregeld moet worden. De laatste echt serieuze verdragen die internationaal bepalen wat wel en niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005 maar die gaan nog steeds niet over wat je nou wel en niet mag bij cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger werd gedaan, ging over deze vraag. Wat moet het leger voor taak in gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er eventueel aan aanvullende wetgeving komen om die taak beter uit te kunnen voeren, of om die taak mogelijk te maken. In principe heeft het leger twee taken. Het verdedigen van de internationale rechtsorde en het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is niet de letterlijke tekst uit de wet, maar kort door de bocht komt het daar wel op neer. Als je dat naar het digitale domein vertaalt, zou dat in de praktijk betekenen dat het leger ingezet zou kunnen worden voor Internationale “vredesmissies” waarbij zowel verdedigend als aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook heel goed zou kunnen, is dat het leger net als bij het plaatsen van een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is, ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van de vijand in opstand moet laten komen? Of gaan ze civiele doelen aanvallen, waardoor de brandweer en ambulances in het vijandelijke land niet meer kunnen functioneren? Het Internet daar platleggen? Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille om buitgemaakte datadragers forensisch te onderzoeken op strategische informatie? Dit is allemaal nog niet bekend en het is ook nog niet duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag niet, wat valt onder de huidige Internationale wetgeving en waar moet er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken al nauw samen, maar omdat de AIVD zich meer met terrorisme en economische spionage bezig houdt, zal het militaire spioneren, pardon, het voorkomen van andermans militaire spioneren op de computernetwerken van Nederland en de bondgenoten op het bordje van de MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere inlichtingendiensten. De vergelijking wordt getrokken tussen radioontvangst en Internetontvangst. Alles wat in de ether langs komt, mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er ook maar mee van plan zijn. Als ze heel Internet zouden kunnen “ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook niet veel meer dan wat iedere burger nu mag. Er is in principe vrije radioontvangst en de enige uitzondering die daar nu voor is, is het descramblen van C2000 en het hebben van een radarverklikker in je auto. De reden daarvoor is veel discussie over geweest, maar het komt er op neer dat je de politie zou hinderen in hun werk en je zou eens plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over hebben, maar het is een uitzondering op wat sowieso al mag en hij is beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen met als argument “voor onze veiligheid” is mij niet helemaal duidelijk geworden. Het is in ieder geval een discussiepunt en we kunnen verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit niet in hun eentje moeten doen en dat het leger dit ook niet moet doen zonder met de politie en de AIVD samen te werken. Het onderscheid tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde opstand zoals van Anonymous en een frontale aanval is vaak maar lastig en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal duidelijk, dus we gaan in de toekomst vast nog interessante dingen over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen zijn die ICT gebruiken als middel om hun doel te bereiken is niet te vermijden. We zullen daar als samenleving en dus ook via onze overheid aandacht aan moeten besteden. Welke rechten en plichten we onze overheid daarin geven, is iets waar we zorgvuldig over na moeten denken. We moeten met zijn allen het doel niet uit het oog verliezen en onze vrijheid weg geven door de verkeerde middelen te kiezen om haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk betrokken bij beveiliging van ICT-systemen en de problemen die daar mee samen gaan op juridisch vlak.

4 reacties

  1. Ik vraag me altijd af wat het voordeel is om de hardware digitaal aan te vallen, in plaats van analoog?

    Een interessant voorbeeld is de aanval op Iraanse kern reactoren. Het is een geraffineerde manier om vanaf een afstand, zonder makkelijk traceerbaar te zijn, een doel uit te schakelen. Maar hoeveel effectiever is het dan een kruisraket uit een onderzeeër te schieten? Beide zijn militaire acties die in veel ogen als een openlijke oorlogsvoering gelden.

    Ik denk zelf dat het op de lange termijn interessanter is om onderzeeërs en kruisraketten te gebruiken. Een kruisraket hou je niet tegen door de UTP kabel los te snijden.

  2. Cyberwar is gewoon een voldongen feit; vraag maar aan Iran hoe het met hun kerncentrale gaat. Dat Nederl;and hier nu serieus werk van gaat maken is rijkelijk laat.

    Wel terecht de vraag hoe ver men hiermee moet gaan, mag men zomaar alles afluisteren? En wat betekent dit voor de rechtstaat? We hebben in de ‘echte wereld’ gezien dat het lastig is mensen te veroordelen met informatie van inlichtingen diensten. Er is geen zicht op hoe deze infomatie wordt vergaard en de inlichtingen diensten houden dit (terecht) voor zich op hoorzittingen.

    Ik ben een voorstander van privacy wetgeving en krijg al rillingen als ik hoor dat onze overheid weer een database aan wil leggen. Mijn grootste probleem is de onkunde van de overheid om deze informatie te beveiligen. Een tweede groot probleem is dat het nooit blijft bij de innitiële bedoelingen.

    Defensie gaat om de verdediging van ons land. Wat mij betreft mogen die wel meer informatie verzamelenonder minder strikte regels als de politie. Ik heb sowieso meer vertrouwen (maar geen absoluut vertrouwen) in hun kunde om informatie te beveiligen. Er moet dan wel een heel grote maar aan zitten: Die informatie kan alleen gebruikt worden om cyber aanvallen af te weren en risico’s voor de staat te identificeren. De verzamelde info ontoelaatbaar zijn als bewijs in een rechtzaak.

  3. Het vertrouwen in defensie is toch ook niet al te groot: http://www.techzine.nl/nieuws/8747/geheime-dienst-verliest-vertrouwelijke-usb-stick.html http://tweakers.net/nieuws/50225/defensie-verliest-vier-usb-sticks-met-geheime-informatie.html http://www.security.nl/artikel/12870/1/DefensieverliestweerUSBstickmetvertrouwelijkegegevens.html http://www.security.nl/artikel/37257/OnversleuteldeUSB-stickmetF-16gegevensverkocht.html

    Dat er iets aan digitale defensie gedaan moet worden is meer dan duidelijk en inderdaad rijkelijk laat maar de overheid heeft tot op heden altijd keurig laten zien niet geschikt te zijn voor dit soort taken. Ik zit echt niet te wachten op een (nog grotere) big brother overheid die alles registreert en analyseert. Maar is snap ook dat dit onomkeerbaar is.

    Ik denk dat het voornaamste is om heel erg duidelijk te stellen wat als een aanval/risico gezien moet worden. Nu wordt er wat mij betreft iets te makkelijk iets als een aanval op/risico voor de samenleving gezien met alle gevolgen die daar bij horen….

  4. Het woord “defensie” is een mooi eufemisme. Als legers echt alleen voor defensie gebruikt zouden worden, zou de wereld een stuk vreedzamer zijn.

    Ik ben wel een voorstander van digitale defensie in de echte betekenis van het woord. Dus niet de computers van hackers platleggen, of infiltreren in de computers van andere landen, maar wel onze eigen systemen weerbaar maken tegen aanvallen van buitenaf.

    Ik denk dat (o.a.) het volgende gedaan moet worden: * identificeer essentiële infrastructuur in Nederland (waterwerken, electriciteitsvoorziening, communicatienetwerken, …) * waar mogelijk, maak deze infrastructuur inherent minder kwetsbaar: haal het van het internet af, maak de manier van werken zo dat er nooit data van/naar de essentiële computers hoeft/kan, of gebruik überhaupt geen computers / programmeerbare elektronica. * voor zover er nog kwetsbaarheden over blijven: zorg voor goede opleiding + bewustwording van personeel, en eventueel simulatie-oefeningen * neem wat “white hat” hackers in dienst die continu de essentiële infrastructuur testen op digitale veiligheid, zonder echt schade aan te richten. Bij kwetsbaarheden zouden de verantwoordelijke organisaties verplicht moeten zijn om de lekken te dichten (voor zover het essentiële infrastructuur betreft: anderen moeten vooral zelf weten hoe onveilig ze willen zijn). * op de langere termijn: richt de infrastructuur decentraal in, zodat een enkele hack niet het hele land plat legt. * op de nog langere termijn: maak digitale veiligheid een integraal onderdeel van het onderwijs.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.